John,
Eso es simplemente una tontería. La parte que no es de código abierto es el manejo de archivos en el lado del servidor. El código que se publica muestra exactamente qué se está cargando y cómo. El hecho de que cualquiera pueda ver el código fuente y ver lo que está haciendo es exactamente lo que significa transparencia. Es el código honesto de Dios que se está ejecutando directamente en el sitio. No hay nada que esconder en él. Está encriptado completamente del lado del cliente, lo cual es verificable (asumiendo que eres capaz de leer / comprender el código). Además, el código se publica en GitHub. Todavía no estoy seguro de por qué estás hablando de SourceForge.
Quizás en lugar de criticar el proyecto, podrías investigar, hacer preguntas o, como mínimo, no solo arrojar afirmaciones erróneas y sin fundamento. Me lo tomo como algo personal porque estás escribiendo cosas que son inexactas sobre el proyecto. Además, en lugar de mirar todo el código que Sam ha escrito o los proyectos a los que contribuye públicamente en GitHub, tú, sobre todo, intentas atacar a su personaje desde una empresa desaparecida que es su dirección de correo electrónico. ¿atado a? Eso debe haber sido una mala broma.
John,
Supongo que no está muy familiarizado con el software de código abierto y cuál es el estándar para este tipo de cosas. Está bien, toda la comunidad se mueve muy rápido, y especialmente en los últimos años. SourceForge es un dinosaurio, empañó su reputación hace meses con administradores de descargas e instaladores de barras de herramientas asquerosos, y la mayoría del código abierto activo ahora vive en GitHub. De hecho, está mucho más abierto a la comunidad en general en GitHub de lo que nunca estuvo o estaría en SourceForge.
Securesha.re es un nuevo tipo de aplicación web donde la mayor parte de la funcionalidad se lleva a cabo directamente en el cliente, a simple vista. Para mostrar mi compromiso con eso, no minimizo ni oculto ningún código en el sitio (que es estándar, simplemente para ahorrar en el tamaño transmitido del sitio). Se necesita una cierta cantidad de experiencia en codificación para verificar que el cifrado se realice correctamente y una cierta cantidad para verificar que las solicitudes se envíen correctamente sin información de identificación. Si uno puede hacer lo primero, seguramente puede hacer lo segundo. Verificar las solicitudes lleva literalmente menos de unos minutos; después de todo, solo hace dos: uno para cargar un archivo y otro para descargarlo.
Hace aproximadamente un año, una pequeña multitud de usuarios de Hacker News echó un vistazo al sitio después de que lo anunciamos. ¿Su veredicto? Funcionó bien, probablemente debería generar contraseñas más largas, fue un poco confuso. Esas eran cosas simples de arreglar, así que arreglé todos esos problemas y el sitio ha estado batiendo archivos felizmente día tras día desde entonces.
Entiendo que sienta que sus comentarios son honestos, pero no precisos.
No dude en consultar el código tanto en su inspector web como en https://github.com/STRML/securesha.re-client/tree/master/polymer - la última versión del sitio utiliza componentes web, por lo que es muy fácil de seguir una vez que comprenda los conceptos básicos.
Al final, si desea utilizar un servicio que maneja sus datos personales, debe confiar ciegamente en él o leer el código. La gran mayoría de los servicios que manejan sus datos personales (Gmail, Dropbox, etc.) no tienen un código fuente disponible públicamente. Este proyecto lo hace. Si no me cree, lea el código. Si no puede leer el código, pregúntele a alguien que pueda. Creo que Securesha.re ocupa un nicho particularmente importante porque su corrección en realidad * puede * verificarse, a diferencia de los muchos servicios de seguridad de código cerrado que existen.
Espero que aclare algunas cosas.
Hola John, escribí securesha.re para un hackathon de Angelhack a finales de 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). El código está disponible gratuitamente en GitHub (https://github.com/STRML/securesha.re-client) para que cualquiera pueda auditar el código.
Es bastante simple; de hecho, tan simple que lo he reescrito en algunos marcos web importantes como un experimento de programación. El backend no es más que un simple almacenamiento de archivos con parámetros de eliminación automática: eliminará sus archivos después de una cierta cantidad de vistas o si alcanzan una cierta edad. Si bien ese segmento no es de código abierto, de hecho es muy simple verificar que no haya datos de identificación o las contraseñas se envían a mi servidor: ejecute la aplicación con su inspector web abierto si no cree me.
En cuanto al "sitio de recolección de dinero sospechoso", Tixelated fue un experimento divertido que cerramos hace unos 6 meses (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Mientras tanto, he estado trabajando en otros proyectos, pero aún no son públicos.
Si tiene alguna pregunta sobre la aplicación, estaré encantado de responderla. Por ahora, es solo un sitio de prueba de concepto y es seguro de usar, pero si encuentra algún error, envíe los problemas al repositorio de GitHub y los solucionaré rápidamente.
Gracias por mirar el sitio. No esperaba recibir ninguna prensa sobre esto ahora: este artículo generó una mención sobre Lifehacker, ¡y ahora estoy recibiendo bastantes correos electrónicos para un proyecto (relativamente) antiguo!
No puedo hablar por la herramienta n. ° 1, pero su comentario no tiene sentido para SecureSha.re. Descargo de responsabilidad: estaba en el equipo original que lo creó en AngelHack.
¿No hay forma de verificar la autenticidad del sitio? Se publica todo el código fuente. Todo sucede del lado del cliente en javascript, por lo que realmente puede ver todo lo que hace. Todo lo que hace es almacenar un archivo binario (ya encriptado por usted, en su navegador). Realmente no tienes idea de lo que estás hablando.
